La société française SHADOW (ex- BLADE), qui propose un service de location d’ordinateurs virtuels — accessible uniquement par Internet —, a annoncé qu’une personne non autorisée avait accédé à un logiciel de l’entreprise et dérobé les données de clients.

Dans un e-mail envoyé aux clients, la société présidée par le fondateur d’OVH a expliqué que l’accès au logiciel a été rendu possible suite à une « attaque de type ingénierie sociale » ciblant un des employés. Le cookie d’authentification de l’employé a été dérobé grâce à un malware partagé sur la plateforme de discussion Discord utilisé par l’employé.

Les données compromises sont : le nom et prénoms des clients, la date de naissance, l’adresse de facturation et la date d’expiration de la carte bancaire.

Deux jours avant la communication publique de SHADOW, un internaute avait mis en vente un jeu de données qui contiendrait des données sur plus de 500 000 clients de la société. D’après cet internaute, les données contiennent également l’historique de connexions des clients et les adresses IP utilisés.

L’e-mail envoyé aux clients :

« Bonjour [NOM DU CLIENT],

Nous souhaitons vous informer d’un incident récent affectant la sécurité de certaines données hébergées chez un de nos prestataires.

Que s’est-il passé ?

A la fin du mois de septembre, nous avons été victime d’une attaque de type ingénierie sociale ciblant un de nos employés. Cette attaque hautement sophistiquée a débuté sur la plateforme Discord par le téléchargement d’un malware sous couverture d’un jeu sur la plateforme Steam, proposé par une connaissance de notre employé, elle-même victime de la même attaque.

Notre équipe de sécurité a immédiatement pris les actions nécessaires.

Malgré nos actions, l’attaquant a pu exploiter l’un des cookies dérobés pour se connecter sur l’interface de gestion d’un de nos fournisseurs SaaS. Grâce à ce cookie, désormais désactivé, l’attaquant a su extraire, via l’API de notre fournisseur de SaaS, certaines informations privées vous concernant.

Les informations concernées sont votre nom, prénoms et l’email, votre date de naissance, l’adresse de facturation et la date d’expiration de votre carte bancaire. Il est important de préciser qu’aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis.

Quelles mesures avons-nous prises ?

Des la découverte de cet incident, nous avons pris des mesures immédiates pour sécuriser nos systèmes et avons pris toutes les précautions nécessaires pour éviter de futurs incidents. Nous avons également renforcé les protocoles de sécurité que nous appliquons avec l’ensemble de nos prestataires SaaS. Enfin, nous allons faire évoluer nos systèmes internes pour rendre inoffensifs les postes de travail compromis.

Que pouvez-vous faire ?

Suite à cet incident, soyez très vigilant quant aux emails que vous recevez, car ils pourraient s’agir de tentatives de phishing. De manière générale, pour l’ensemble de vos comptes, nous vous conseillons de vous protéger en mettant en place des authentifications multi facteurs ("MFA").

Pour configurer le MFA sur votre compte Shadow, vous pouvez vous referer au guide suivant : https://shdw.me/HC-B2C-2FA

Nous sommes là pour vous

Nous tenons sincèrement à nous excuser pour la gêne occasionnée et vous assurons que nous mettons tout en œuvre pour assurer la sécurité de vos données.

Si vous avez des questions ou des préoccupations, n’hésitez pas à contacter notre service client via: https://shdw.me/HC-B2C-Support_Form

Nous vous remercions pour votre compréhension et de votre confiance.

Bien cordialement,

Eric Sèle,

Directeur Général, Shadow »